logo search
Безопасность и управление доступом

Вопрос № 16. Межсетевые экраны и пакетные фильтры.

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Мост – сетевое устройство, которое определяется на уровне передачи данных: прозрачные или обучающиеся; инкапсулирующие; транслирующие; с маршрутизацией от источника; с транслированием маршрутизации от источника. Информация о том, какие пакеты передаются в какой сетевой сегмент, заносятся в мост в процессе обучения и хранятся в таблице переадресации. Она содержит список известных адресов канального уровня и соответствуют этим адресам сегментов сети. Чтобы определить наилучший метод передачи пакетов на заданный канальный уровень переадресации пакетов, мосты обмениваются данными, используя для этого протокол STP. Он позволяет мостам строить безкольцевую топологию адресации пакетов – гарантирование, что пакет проходит по одному сегменту только один раз.

Прозрачный мост способен обрабатывать соединения только с одинаковыми протоколами канального уровня.

Инкапсулирующие и транслирующие мосты обладают дополнительными функциями, позволяющие взаимодействовать с различными протоколами канального уровня. Инкапсулирующие мосты вкладывают кадр канального уровня одного типа в кадр канального уровня другого. Транслирующий мост выполняет функции прозрачного моста между двумя различными типами протоколов канального уровня.

Коммутатор - устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного сегмента. Работает на канальном уровне передачи данных и выполняет те же функции, что и мост. Инкапсуляция кадров.

Маршрутизатор – устройство, распределяющее пакеты по сети с помощью информационного сетевого уровня IP, IPX, Apple Talk. Мосты и коммутаторы соединяют несколько сетей в одну логическую сеть, а маршрутизатор соединяет логические сети и маршрутизирует пакеты данных между ними. Основное преимущество: физические и логические сети разделяет сеть на несколько управляющих сегментов.

Сервер доступа – сервер, позволяющий подключится к сети асинхронным устройствам. Чаще всего используются для подключения к сети internet-компьютеры, оборудованные модемами.

Пакетный фильтр является главным модулем системы, который принимает решения, разрешить или запретить конкретному пакету пройти через межсетевой экран. Это означает, что определенный сервис разрешен или запрещен.

Чтобы решать, какие действия следует выполнять для каждого полученного межсетевым экраном пакета, пакетный фильтр использует набор правил, которые описываются системным администратором. Для каждого пакета межсетевой экран просматривает весь набор правил в порядке их создания, проверяя, удовлетворяет ли пакет какому-либо из них. Если соответствующее правило существует, то в соответствии с ним будет выполняться заданное действие. Если данный пакет не удовлетворяет ни одному из правил, то будет выполняться действие по умолчанию.

Вопрос № 17.

Персональные межсетевые экраны.

Персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Персональные межсетевые экраны управляются только с того компьютера, на котором они установлены, и идеально подходят для домашнего применения.

Вопрос № 18.

Практическое использование межсетевого экрана. Подключение отдельных подразделений.

Существует два основных способа создания наборов правил межсетевого экрана: ''включающий'' и ''исключающий''. Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил. Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам и блокирует все остальное.

Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.

Безопасность может быть дополнительно повышена с использованием ''межсетевого экрана с сохранением состояния''. Такой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения или открытие новых соединений. Недостаток межсетевого экрана с сохранением состояния в том, что он может быть уязвим для атак DoS (Denial of Service, отказ в обслуживании), если множество новых соединений открывается очень быстро. Большинство межсетевых экранов позволяют комбинировать поведение с сохранением состояния и без сохранения состояния, что оптимально для реальных применений.